今天,我们宣布推出Amazon Route 53全局解析器,这是一项新的Amazon Route 53服务,可为来自任何地方的查询(预览版)提供安全可靠的全球DNS解析。您可以使用全局解析器来解析指向互联网公共域名以及与Route 53私有托管区域关联的私有域名的DNS查询。Route 53全局解析器为网络管理员提供了一个统一的解决方案,通过全球分布的任播IP地址,解析来自本地数据中心、分支机构及远程位置的认证客户端和源的查询。该服务包含内置的安全控制,包括DNS流量过滤、支持加密查询以及集中式日志记录,可帮助组织减少运维开销,同时满足安全合规性要求。
拥有混合部署的组织在管理分布式环境中的DNS解析时面临操作复杂性。解析公共互联网域名和私有应用程序域名通常需要维护拆分DNS基础设施,这会增加成本和管理负担,尤其是在需要复制到多个位置时。网络管理员必须配置自定义转发解决方案,为私有域名解析部署Route 53解析器端点,并在不同位置实施独立的安全控制。此外,他们还必须为Route 53解析器端点配置和维护多区域故障转移策略,并在测试故障转移场景时确保所有区域都执行一致的安全策略。
Route 53全局解析器具备解决这些挑战的关键能力。该服务可同时解析公共互联网域名和Route 53私有托管区域,从而无需单独的拆分DNS转发。它通过多种协议提供DNS解析,包括基于UDP的DNS(Do53)、基于HTTPS的DNS(DoH)和基于TLS的DNS(DoT)。每个部署都提供一组共用的IPv4和IPv6任播IP地址,这些地址将查询路由到最近的AWS区域,从而降低分布式客户端群体的延迟。
Route 53全局解析器提供与Route 53解析器DNS防火墙相当的综合安全功能。管理员可以使用AWS托管域名列表配置过滤规则,这些列表按DNS威胁(恶意软件、垃圾邮件、网络钓鱼)或可能不安全或影响工作的网络内容(成人网站、赌博、社交网络)分类,提供灵活的控制,也可以通过从文件导入域名来创建自定义域名列表。高级威胁防护可检测并阻止域名生成算法(DGA)模式和DNS隧道尝试。对于加密的DNS流量,Route 53全局解析器支持DoH和DoT协议,以保护查询在传输过程中免遭未经授权的访问。
Route 53全局解析器仅接受来自已知客户端的流量,这些客户端需要向解析器进行身份验证。对于Do53、DoT和DoH连接,管理员可以配置IP和CIDR允许列表。对于DoH和DoT连接,基于令牌的身份验证提供了细粒度的访问控制,具有可自定义的过期期限和撤销能力。管理员可以根据组织要求将令牌分配给特定的客户端组或单个设备。
Route 53全局解析器支持DNSSEC验证,以验证来自公共名称服务器的DNS响应的真实性和完整性。它还包括EDNS客户端子网支持,可转发客户端子网信息,使内容分发网络能够提供更精确的基于地理位置的DNS响应。
开始使用Route 53全局解析器
此演练展示了如何为一家在美国东海岸和西海岸设有办事处、需要解析公共域名和Route 53私有托管区域中托管的私有应用程序的组织配置Route 53全局解析器。要配置Route 53全局解析器,请转至AWS管理控制台,从导航窗格中选择“全局解析器”,然后选择“创建全局解析器”。
在“解析器详细信息”部分,输入一个解析器名称,例如 corporate-dns-resolver。添加可选描述,如 DNS resolver for corporate offices and remote clients。在“区域”部分,选择您希望解析器运行的AWS区域,例如美国东部(弗吉尼亚北部)和美国西部(俄勒冈)。任播架构将来自您客户端的DNS查询路由到最近选定的区域。
解析器创建后,控制台将显示解析器详细信息,包括您将用于DNS查询的任播IPv4和IPv6地址。您可以继续通过选择“创建DNS视图”来创建DNS视图,以配置客户端身份验证和DNS查询解析设置。
在“创建DNS视图”部分,输入DNS视图名称,例如 primary-view,并可选地添加描述,如 DNS view for corporate offices。DNS视图可帮助您为客户端和源创建不同的逻辑分组,并确定这些组的DNS解析方式。这有助于您为组织中的不同客户端维护不同的DNS过滤规则和私有托管区域解析策略。
对于DNSSEC验证,选择“启用”以验证来自公共DNS服务器的DNS响应的真实性。对于防火墙规则“故障开放”行为,选择“禁用”以在防火墙规则无法评估时阻止DNS查询,这提供了额外的安全性。对于EDNS客户端子网,保持“启用”以将客户端位置信息转发给DNS服务器,这使内容分发网络能够提供更精确的地理位置响应。DNS视图的创建可能需要几分钟才能生效。
DNS视图创建并生效后,通过选择“创建规则”来配置DNS防火墙规则以过滤网络流量。在“创建DNS防火墙规则”部分,输入规则名称,例如 block-malware-domains,并可选择添加描述。对于规则配置类型,您可以选择“客户管理的域名列表”、“AWS管理的域名列表(由AWS提供)”或“DNS防火墙高级防护”。
在此演练中,选择“AWS管理的域名列表”。在“域名列表”下拉列表中,选择一个或多个AWS托管列表,例如“威胁 – 恶意软件”以阻止已知恶意域名。您可以将“查询类型”留空以将规则应用于所有DNS查询类型。在此示例中,选择“A”以仅将此规则应用于IPv4地址查询。在“规则操作”部分,选择“阻止”以防止对匹配所选列表的域名进行DNS解析。对于“阻止操作要发送的响应”,保持“NODATA”以指示查询成功但无可用响应,然后选择“创建规则”。
下一步是配置访问源,以指定允许哪些IP地址或CIDR块向解析器发送DNS查询。在DNS视图中导航到“访问源”选项卡,然后选择“创建访问源”。
在“访问源详细信息”部分,输入规则名称,例如 office-networks 以标识该访问源。在“CIDR块”字段中,输入您办事处的IP地址范围以允许来自该网络的查询。对于“协议”,选择“Do53”以通过UDP进行标准DNS查询,或者如果您希望要求客户端使用加密的DNS连接,则选择“DoH”或“DoT”。配置这些设置后,选择“创建访问源”以允许指定网络向解析器发送DNS查询。
接下来,在DNS视图中导航到“访问令牌”选项卡以创建基于令牌的客户端身份验证,然后选择“创建访问令牌”。在“访问令牌详细信息”部分,输入令牌名称,例如 remote-clients-token。对于“令牌过期”,根据您的安全要求从下拉列表中选择过期期限,例如365天以进行长期客户端访问,或选择更短的持续时间,如30天或90天以进行更严格的访问控制。配置这些设置后,选择“创建访问令牌”以生成令牌,客户端可以使用该令牌对DoH和DoT连接到解析器进行身份验证。
创建访问令牌后,在DNS视图中导航到“私有托管区域”选项卡,以将Route 53私有托管区域与DNS视图关联,使解析器能够解析您的私有应用程序域名的查询。选择“关联私有托管区域”,然后在“私有托管区域”部分,从列表中选择一个您希望解析器处理的私有托管区域。选择区域后,选择“关联”以使解析器能够从您配置的访问源响应这些私有域名的DNS查询。
配置好DNS视图、创建了防火墙规则、定义了访问源和令牌并关联了私有托管区域后,Route 53全局解析器的设置即告完成,随时可以处理来自您配置的客户端的DNS查询。 创建Route 53全局解析器后,您需要配置DNS客户端以将查询发送到解析器的任播IP地址。配置方法取决于您在DNS视图中配置的访问控制:
- 对于基于IP的访问源(CIDR块) – 配置您的源客户端,将DNS流量指向解析器详细信息中提供的Route 53全局解析器任播IP地址。全局解析器将仅允许您已在访问源中指定的允许列表IP进行访问。您还可以将访问源关联到不同的DNS视图,为不同的IP集提供更细粒度的DNS解析视图。
- 对于基于访问令牌的身份验证 – 在客户端上部署令牌,以使用Route 53全局解析器对DoH和DoT连接进行身份验证。您还必须配置客户端,将DNS流量指向解析器详细信息中提供的Route 53全局解析器任播IP地址。
有关针对特定操作系统和协议的详细配置说明,请参阅技术文档。
其他须知事项
我们将现有的Route 53解析器更名为Route 53 VPC解析器。此名称变更旨在明确两种服务在架构上的区别。VPC解析器在您的VPC内区域性运行,为您的Amazon VPC环境中的资源提供DNS解析。VPC解析器继续支持特定AWS区域内混合DNS架构的入站和出站解析器端点。
Route 53全局解析器是对Route 53 VPC解析器的补充,它为非VPC部署或无需私有连接的本地和远程客户端提供互联网可达的、全球和私有的DNS解析。
现有的VPC解析器配置保持不变,并继续按配置运行。此次更名会影响AWS管理控制台和文档中的服务名称,但API操作名称保持不变。如果您的架构需要为VPC内的资源提供DNS解析,请继续使用VPC解析器。
加入预览
Route 53全局解析器通过单一的托管服务为公共和私有域名提供统一的DNS解析,从而降低了运维开销。全球任播架构提高了可靠性,并减少了分布式客户端的延迟。集成的安全控制和集中式日志记录可帮助组织在所有位置保持安全策略的一致性,同时满足合规性要求。
要了解更多关于Amazon Route 53全局解析器的信息,请访问Amazon Route 53文档。
您可以通过AWS管理控制台在美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(北加利福尼亚)、美国西部(俄勒冈)、欧洲(法兰克福)、欧洲(爱尔兰)、欧洲(伦敦)、亚太地区(孟买)、亚太地区(新加坡)、亚太地区(东京)和亚太地区(悉尼)区域开始使用Route 53全局解析器。